사용자가 정상파일과 구분하기 어렵고, 감염경로조차 정확히 파악되지 않은 변조된 악성코드를 숨긴 ‘한글 프로그램’이 발견됐다.
3일 하우리는 악성코드를 숨긴 악성 한글 프로그램이 발견됐다고 발표했다.
변조된 악성 한글 프로그램 파일
이 악성 한글 프로그램은 정상 한글 파일처럼 실행이 되면서 백그라운드에서 악성행위를 수행하도록 제작돼 있어 사용자가 악성 파일 여부를 파악하기 힘들다. 그만큼 악성코드 은닉이 쉽고 탐지가 어렵기 때문에 장시간 잠복해 악성행위를 수행할 수 있다는 게 하우리 측 설명이다.
변조된 악성 한글 프로그램은 10월 중순경 하우리로 접수돼 분석을 하던 중 감염된 PC 시스템 정보를 탈취하고 연결된 서버에서 악성코드를 추가로 다운로드 받는 것이 확인됐다.
이번에 발견된 악성 한글 프로그램 파일은 정상 파일 진입점(OEP)을 변경해 악성코드 진입점(New EP)이 우선 실행되게 변조했다.
악성코드 동작 도식화
한글 프로그램은 국가·공공기관에서 많이 사용해 감염 시 기밀문서나 중요 시스템 정보들이 유출될 수 있다는 우려도 있다.
현재 감염경로는 정확하진 않지만 이메일을 통해 특정인에게 배포됐을 것으로 추정된다.
하우리 관계자는 "인터넷 등을 통해 배포됐다면 다수가 감염됐어야 하는데 잘 알려지지 않은 것으로 봐 현재로선 특정인을 노린 지능형지속위협(APT) 공격으로 보고 있다"고 말했다.
하우리는 변조된 한글 프로그램 파일을 분석하던 도중 해당 악성코드와 유사한 변종 악성코드가 추가로 수집돼 모두 긴급 업데이트를 진행했으며, 악성코드 유포지 및 경유지는 한국인터넷진흥원(KISA)와 공조해 모두 차단한 상태다.
관련 악성코드는 2015-10-30.01 버전 이후로 제네릭(Generic) 탐지 엔진에 적용돼 바이로봇 백신 프로그램에서 모두 진단·치료된다.
하우리는 “악성코드 제작자가 동일한 유형의 변종 악성코드를 다수 배포하고 있는 정황을 파악했다”며, “한글뿐만 아니라 다른 프로그램도 변조의 대상이 될 수 있으므로 사용자와 관리자의 주의가 요구된다”고 말했다.
